Se ha observado que un tr\u00edo de grupos de actividades de amenazas vinculados a China comprometen a m\u00e1s organizaciones gubernamentales en el sudeste asi\u00e1tico como parte de una renovada operaci\u00f3n patrocinada por el estado cuyo nombre en c\u00f3digo es Palacio carmes\u00ed<\/strong>lo que indica una expansi\u00f3n en el alcance del esfuerzo de espionaje.<\/p>\n La empresa de ciberseguridad Sophos, que ha estado monitoreando la ciberofensiva, dijo que est\u00e1 compuesta por tres grupos de intrusiones identificados como Cluster Alpha (STAC1248), Cluster Bravo (STAC1870) y Cluster Charlie (STAC1305). STAC es la abreviatura de “security threat activity cluster” (grupo de actividades de amenazas a la seguridad).<\/p>\n “Los atacantes utilizaron sistem\u00e1ticamente otras redes de organizaciones y servicios p\u00fablicos comprometidas en esa regi\u00f3n para distribuir malware y herramientas bajo la apariencia de un punto de acceso confiable”, dijeron los investigadores de seguridad Mark Parsons, Morgan Demboski y Sean Gallagher. dicho<\/a> en un informe t\u00e9cnico compartido con The Hacker News.<\/p>\n Un aspecto destacable de los ataques es que implican el uso de los sistemas de una organizaci\u00f3n no identificada como punto de retransmisi\u00f3n de comando y control (C2) y como base de operaciones para herramientas. Se dice que el servidor Microsoft Exchange Server comprometido de una segunda organizaci\u00f3n se utiliz\u00f3 para alojar malware.<\/p>\n La empresa de ciberseguridad document\u00f3 por primera vez Crimson Palace a principios de junio de 2024, y los ataques tuvieron lugar entre marzo de 2023 y abril de 2024.<\/p>\n Si bien la actividad inicial asociada con el Cluster Bravo, que se superpone con un grupo de amenazas llamado Unfading Sea Haze, se limit\u00f3 a marzo de 2023, se ha observado una nueva ola de ataques detectada entre enero y junio de 2024 dirigida a otras 11 organizaciones y agencias en la misma regi\u00f3n.<\/p>\n Tambi\u00e9n se ha identificado un conjunto de nuevos ataques orquestados por Cluster Charlie, un cl\u00faster al que se hace referencia como Earth Longzhi, entre septiembre de 2023 y junio de 2024, algunos de los cuales tambi\u00e9n implican el despliegue de los marcos C2 como Cobalt Strike, Havoc y XieBroC2<\/a> para facilitar la post-explotaci\u00f3n y entregar cargas \u00fatiles adicionales como Perro de caza afilado<\/a> para el mapeo de la infraestructura de Active Directory. <\/p>\n “La exfiltraci\u00f3n de datos de valor para la inteligencia sigui\u00f3 siendo un objetivo despu\u00e9s de la reanudaci\u00f3n de la actividad”, dijeron los investigadores. “Sin embargo, gran parte de su esfuerzo parec\u00eda estar centrado en restablecer y ampliar su presencia en la red objetivo, evitando el software EDR y restableciendo r\u00e1pidamente el acceso cuando sus implantes C2 hab\u00edan sido bloqueados”.<\/p>\n Otro aspecto significativo es la fuerte dependencia de Cluster Charlie del secuestro de DLL para ejecutar malware, un enfoque previamente adoptado por los actores de amenazas detr\u00e1s de Cluster Alpha, lo que indica una “polinizaci\u00f3n cruzada” de t\u00e1cticas.<\/p>\n Algunos de los otros programas de c\u00f3digo abierto utilizados por el actor de amenazas incluyen: RealBlindingEDR<\/a> y Alcatraz<\/a>que permiten finalizar procesos antivirus y ofuscar archivos ejecutables port\u00e1tiles (por ejemplo, .exe, .dll y .sys) con el objetivo de pasar desapercibidos.<\/p>\n Para completar el arsenal de malware del cl\u00faster se encuentra un keylogger previamente desconocido cuyo nombre en c\u00f3digo es TattleTale, que fue identificado originalmente en agosto de 2023 y es capaz de recopilar datos de los navegadores Google Chrome y Microsoft Edge.<\/p>\n “El malware puede identificar el sistema comprometido y buscar unidades f\u00edsicas y de red montadas haci\u00e9ndose pasar por un usuario conectado”, explicaron los investigadores.<\/p>\n “TattleTale tambi\u00e9n recopila el nombre del controlador de dominio y roba la pol\u00edtica de informaci\u00f3n de consulta de LSA (autoridad de seguridad local), que se sabe que contiene informaci\u00f3n confidencial relacionada con pol\u00edticas de contrase\u00f1as, configuraciones de seguridad y, a veces, contrase\u00f1as almacenadas en cach\u00e9”.<\/p>\n En pocas palabras, los tres grupos trabajan de la mano, mientras se concentran simult\u00e1neamente en tareas espec\u00edficas en la cadena de ataque: infiltrarse en entornos objetivo y realizar reconocimiento (Alpha), profundizar en las redes utilizando varios mecanismos C2 (Bravo) y exfiltrar datos valiosos (Charlie).<\/p>\n “Durante todo el enfrentamiento, el adversario pareci\u00f3 probar y refinar continuamente sus t\u00e9cnicas, herramientas y pr\u00e1cticas”, concluyeron los investigadores. “A medida que implement\u00e1bamos contramedidas para su malware a medida, combinaron el uso de sus herramientas desarrolladas a medida con herramientas gen\u00e9ricas de c\u00f3digo abierto que suelen utilizar los evaluadores de penetraci\u00f3n leg\u00edtimos, probando diferentes combinaciones”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/Expertos-identifican-tres-grupos-vinculados-a-China-que-estan-detras.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/div>\n<\/a><\/center><\/section>\n